SSL Kommunikation
Eine Verschlüsselung von Daten ist ein wichtiger Aspekt der heutigen Kommunikation, welche über die öffentlichen Netze (Internet) erfolgen. Unverschlüsselte Daten können heute leicht durch Dritte mit gelesen oder verändert werden. Secure Socket Layer (SSL) ist eines der am weitesten verbreiteten Protokolle, welches eine sichere Datenübertragung im Internet gewährleistet. Durch eine solche SSL - Verbindung kann erreicht werden, dass Sie Ihre Daten sicher und unverfälscht via Internet übertragen können. Eine SSL - Verbindung arbeitet mit zwei verschiedenen Verschlüsselungstechniken. Dies setzt den Einsatz von Zertifikaten voraus. Darunter versteht man elektronische Ausweise, welche die Identität eines Computers oder einer Person bestätigen. Hierzu wird eine Certification Authority (CA) eingesetzt. Dabei handelt es sich um eine "vertrauenswürdige Organisation" wie zum Beispiel SwissSign . Eine vertrauenswürdige Organisation kann aber der Hersteller eines Software Paketes wie zum Beispiel Topal Solutions AG sein. In diesem Falle wird Topal Solutions AG "Self signed Certificates ausstellen, die direkt an Kunden abgegeben werden.
Um eine SSL Verbindung herzustellen muss eine Certification Authority (CA) verschiedene Dinge bereitstellen: Öffentlichen Schlüssel (Public Key), einen privaten Schlüssel (Private Key) und ein Zertifikat.
Die Certification Authority (CA) stellt den öffentlichen, wie auch den privaten Schlüssel bereit. Das Zertifikat wird auf dem Clientrechner vorinstalliert oder kann auch nachinstalliert werden. Auf dem Server wird auch ein Zertifikat installiert, welches den Servernamen und den öffentlichen Schlüssel (Public Key) beinhaltet. Das Zertifikat des Servers wird mit dem privaten Schlüssel (Private Key) unterschrieben. Somit ist der elektronische Ausweis fälschungssicher.
Kapitel Referenzen
Um eine sichere Verbindung aufzubauen müssen der Client und der Server verschiedene Informationen austauschen. Der Client sendet eine unverschlüsselte Information (Client Hallo) an den Server mit dem Wunsch eine Verbindung aufzubauen. Dieser antwortet mit einen (Server Hallo) und sendet sein Zertifikat an den Client. Der Client verifiziert das Zertifikat des Servers mit dem öffentlichen Schlüssel der CA, welches auf Ihrem Rechner installiert ist. Somit können Sie sicher sein, dass es sich um den richtigen Server handelt. Nun erzeugt der Client einen (Session Key) und verschlüsselt diesen mit dem öffentlichen Schlüssel des Servers und sendet diesen an den Server. Der Server kann nun mit seinem privaten Schlüssel (Private Key) den chiffrierten, symmetrischen Session Key (Master key) entschlüsseln. Mit dem nun beiden vorliegenden symmetrischen Session Keys, können nun der Client und Server verschlüsselte Nachrichten versenden.
Topal Solutions AG verfügt über ein vor installiertes "Self Signed Certificate", welches mit der Installation der Topal Finanzbuchhaltung installiert wird. Entsprechend Ihren Anforderungen kann aber auch ein Root Zertifikat spezifisch für Ihre Firma direkt bei SwissSign beantragt werden. In diesem Fall werden Root, Server und Client Zertifikate direkt durch Sie ausgestellt und gemanaged.
Verwenden Sie ein eigenes durch SwissSign erstelltes Root Zertifikat für Ihre Firma (mit Ihrem Firmennamen), können Server und Benutzerzertifikate für interne Mitarbeiter wie auch Kunden via eines MangedPKI Services bei SwissSign beantragt werden. Die Zertifikatsinstallation von SwissSign erfolgt in der selben Weise wie die von Topal erstellten Zertifikate.
Topal Solutions AG wird gemäss Ihren Wünschen ein Serverzertifikat basierend auf dem Topal Solutions CA Root Zertifikat ausstellen. Hierfür ist es notwendig, dass Sie sich mit Topal in Verbindung setzten, um die notwendigen Details zu klären.
Wie bereits erwähnt besteht die Möglichkeit kundenspezifische Self Signed Zertifikate Root-, Server und Benutzerzertifikate zu verwenden. Die Erstellung der entsprechenden Zertifikate kann mit dem mitgelieferten Tool von Topal erreicht werden. Die Beschreibung zur Erstellung von "Self Signed Certificates" finden Sie in den folgenden Kapiteln.
Wie oben erwähnt, besteht die Möglichkeit Self Signed Zertifikate zu verwenden respektive auszustellen. Dies kann mit dem mitgelieferten Werkzeug von Topal erreicht werden.
Das mitgelieferte Werkzeug nutzt die von Windows bereitgestellten Services zur Erstellung von Self Signed Certificates. Das Werkzeug ist als Batchdatei aufgebaut. Zur Erstellung von Zertifikaten ist wie folgt vorzugehen:
1. Starten Sie die Datei TopalCertificate.bat Nach dem starten des Batchfiles haben Sie die Möglichkeit zur Unterscheidung zwischen verschiedenen Typen von Zertifikaten
-
0 - CA: Dient der Erstellung eines Root Zertifikats
-
1 - Client (User): Dient der Erstellung von Benutzer Zertifikaten
-
2 - Server: Dient der Erstellung von Server Zertifikaten
2. Wählen Sie die 0 für CA (Certificate Authority), sowie den Namen ihrer Firma (z.B. Treuhand Walser CA) und das Passwort ein (Abbildung 1).Abbildung 1: Ausstellen eines Self Signed Root Zertifikats - Certificate Authority, Firmaname und Passwort Eingabe3. Sind die Eingaben erfolgt, wird nach den Passwörtern zur Verschlüsselung und zur Verifikation gefragt. Geben Sie diese bitte wie in Abbildung 2 zu sehen ein.Abbildung 2: Ausstellen eines Self Signed Root Zertifikats - Kennwort für privaten Schlüssel eingebenIst dieser Schritt abgeschlossen wird das Zertifikat erzeugt und direkt im Certificate Store (Zertifikatsmanager) auf Ihrem Rechner installiert.
In Topal besteht die Möglichkeit mehrere Server Instanzen (Datenbank Schemas) einzurichten. Jede dieser Instanzen (Abbildung 3) ist separat zu administrieren. Entsprechend können Sie für jede erstellte Instanz ein separates Server Zertifikat erstellen und mit der Instanz verknüpfen.

Abbildung 3: Ausstellen von Server Zertifikaten für eine oder mehrere Topal Instanzen - Server Instanzen
Die Erstellung von Server Zertifikaten erfolgt in der selben Weise wie die Erstellung eines Root Zertifikats. Es ist lediglich der Parameter 2 - Server zu verwenden. Eine Ausnahme hier ist, dass nach der Eingabe des Serverpasswort ein zusätzlicher Eingabedialog (Abbildung 4) erscheint, in dem Sie das Passwort des Herstellers des Root Zertifikats eingeben müssen, um die Verknüpfung zwischen Root Zertifikat und Serverzertifikat herzustellen.

Abbildung 4: Ausstellen von Server Zertifikaten für eine oder mehrere Topal Instanzen - Server Zertifikat Passwort Eingabe
Die Erstellung von Benutzer Zertifikaten erfolgt in derselben Weise wie die Erstellung eines Root Zertifikats. Es ist lediglich der Parameter 1 - Client (User) zu verwenden.